Linux用户权限解析

时光斑驳

已于 2022-09-02 21:30:32 修改

阅读量4.2k

点赞数 4

文章标签： linux debian p2p

于 2022-05-25 19:26:05 首次发布

本文链接：https://blog.csdn.net/m0_70838473/article/details/124972050

版权

实战案例3：对目录有w，对文件没有任何权限。

高级权限 suid（只对命令文件有效，大多为二进制文件）,sgid（组继承）,sticky

Sticky Bit T权限，主要针对目录。

一、Linux用户权限解析

我们linux服务器上有严格的权限等级，如果权限过高导致误操作会增加服务器的风险。所以对于了解linux系统中的各种权限及要给用户，服务等分配合理的权限十分重要。

1、基本权限 UGO

文件权限设置：可以赋于某个用户或组能够以何种方式访问某个文件。

权限对象：

属主------->u 拥有者拥有者权限。

属组------->g 拥有组该文件所属组权限。

其他人------>o 其他人权限。

基本权限类型：

读(read)：r ---->4

写(write)：w ---->2

执行: x(exec) ----->1

案例：

r w x rw- r-- alice hr file1.txt

属主权限 属组权限 其他人权限 属主属组文件

U G O

前提条件：jack属于hr组

1、alice对file1.txt文件有什么权限？

2、jack对file1.txt文件有什么权限？

a. jack是所有者吗？ b. jack属于hr组吗？

3、tom对file1.txt文件有什么权限？

a. tom是所有者吗？ b. tom属于hr组吗？ c. tom为其他人吗？

1.1.设置权限

Chown：改变文件或目录的所属主以及所属组。

Chmod：为文件或目录，设置访问权限UGO权限。

更改文件的属主(所有者)、属组（所属组）

chown 用户.组文件

[root@linux-server ~]# chown alice.hr file1.txt //同时修改属主、属组

[root@linux-server ~]# chown tom file1.txt //只修改属主

[root@linux-server ~]# chown .it file1.txt //只改属组

[root@linux-server ~]# chown -R alice.hr dir1 //递归修改---针对目录（目录里的文件主以及主组都会改变。）

2、更改权限

使用符号

chmod u+x file1.txt //属主增加执行

chmod a=rwx file1.txt //所有人等于读写执行

chmod a=- file1.txt //所有人都没有权限

chmod ug=rw，o=r file1.txt //属主属组等于读写，其他人只读

[root@linux-server ~]# ll

-rw-rw-r--. 1 tom it 0 Nov 1 15:30 file1.txt

同时执行多个命令，中间用逗号隔开。

使用数字

读(read) ：r ------->4

写(write) ：w ------->2

执行 : x (exec) ----->1

[root@linux-server ~]# chmod 644 file1.txt

[root@linux-server ~]# ll file1.txt

-rw-r--r--. 1 tom it 0 Nov 1 15:30 file1.txt

2、权限案例 UGO

2.1.设置权限案例

针对hr部门的访问目录/home/hr设置权限，要求如下:

root用户和hr组的员工可以读、写、执行，其他用户没有任何权限。（root用户为超级管理员，无视UGO权限。）

2.2.rwx对文件的影响

实战案例1：rwx对文件的影响

有x，想执行前提有r。

2.3.rwx对目录的影响

想w，前提是有x。

x：对目录文件的影响是，决定了该用户是否可以进入到该目录。

r：针对目录，决定了该用户是否可以查看目录内的信息。

w：针对目录，需要有x权限的前提下，才能生效。其中w权限针对目录来说，决定了该用户是否可以在目录内创建文件（目录和普通文件）。

实战案例2：对目录没有w，对文件有rwx

实战案例3：对目录有w，对文件没有任何权限。

小结

对文件：

r----cat

w ---vi、vim （echo “内容” > 文件）

x ---- bash /dir/file

对目录：

r ---ls

w -----touch、rm

x ---- cd

对目录有w权限，可以在目录中创建新文件，可以删除目录中的文件（跟文件权限无关）。

注意事项：

文件： x 权限小心给予

目录： w 权限小心给予

权限掩码

umask 用户掩码

控制用户创建文件和目录的默认权限

#查看umask
[root@qfedu.com ~]# umask
0022 root账户默认
0002 普通用户默认

#root用户默认最高权限
目录777 文件666

#通过计算得出root用户创建目录和文件的权限为:
也是现在root用户创建完目录和文件的默认权限:
目录:755
文件:644

#修改umask
[root@qfedu.com ~]# umask 0111

root 用户：创建目录默认最高权限755，文件644。

普通用户：创建目录默认最高权限775，文件664。

高级权限

高级权限 suid（只对命令文件有效，大多为二进制文件）,sgid（组继承）,sticky

1.1高级权限的类型

suid ==== 4 提权（只对二进制命令文件生效，其他不管用）

sgid ==== 2 组继承（只能对目录设置）

sticky == 1 (t权限) 权限控制

1.2设置特殊权限

a、字符---语法：

chmod u+s file

chmod g+s dir

chmod o+t dir

b、数字

chmod 4777 file

chmod 2770 dir

chmod 1770 dir

案例

Set UID 命令提权，主要针对命令

那么这个特殊权限的特殊性的作用是什么呢？

1、SUID权限仅对命令文件(二进制文件)有效；

2、执行者将具有该程序拥有者(owner)的权限。所有普通用户都能像root一样随意使用该命令。

对所有用户进行单个命令的提权。

取消提权

ll /usr/bin/rm

-rwsr-xr-x. 1 root root 62864 Nov 6 2016 /usr/bin/rm

此时一旦给rm加上suid权限之后，普通用户相当于root用户。(即提权)

chmod u-s /usr/bin/rm #取消提权

Set GID （组继承）主要针对目录

把s放到文件的所属用户组的x位置上的话，就是SGID。那么SGID的功能是什么呢？和SUID一样，只是SGID是获得该程序所属用户组的权限。

SGID主要用在目录上-----如果用户在此目录下具有w权限的话，使用者在此目录下建立新文件，则创建的这个文件的群组与此目录的群组相同。

案例

[root@linux-server ~]# mkdir /opt/dir1 #创建目录

[root@linux-server ~]# groupadd hr #创建一个组

[root@linux-server ~]# chmod 775 /opt/dir1/ #给目录设置权限

[root@linux-server ~]# ll -d /opt/dir1/

drwxrwxr-x. 2 root root 6 Nov 6 21:26 /opt/dir1/

[root@linux-server ~]# chown .hr /opt/dir1/ #设置属组

[root@linux-server ~]# chmod g+s /opt/dir1/ #设置sgid

[root@linux-server ~]# ll -d /opt/dir1/

drwxrwsr-x. 2 root hr 6 Nov 6 21:26 /opt/dir1/

[root@linux-server ~]# touch /opt/dir1/a.txt 创建新文件

[root@linux-server ~]# ll /opt/dir1/a.txt 查看新文件

-rw-r--r--. 1 root hr 0 Nov 6 21:33 /opt/dir1/a.txt 新文件属组为设置属组

[root@linux-server ~]# chmod o+w /opt/dir1/ -R

[root@linux-server ~]# su - alice

Last login: Wed Nov 6 21:34:59 CST 2019 on pts/2

[alice@linux-server ~]$ touch /opt/dir1/b.txt

[alice@linux-server ~]$ ll /opt/dir1/b.txt

-rw-rw-r--. 1 alice hr 0 Nov 6 21:35 /opt/dir1/b.txt

Sticky Bit T权限，主要针对目录。

chmod o+/-t 目录

这个就是针对others来设置的了，和上面两个一样，只是功能不同而已。

SBIT（Sticky Bit）目前只针对目录有效，对于目录的作用是：当用户在该目录下建立文件或目录时，仅有自己与 root才有权力删除。

案例

[root@linux-server ~]# cd /home/

[root@linux-server home]# mkdir dir2 创建目录

[root@linux-server home]# chmod 757 dir2/ 给目录设置权限

[root@linux-server home]# chmod o+t dir2/ 给目录加上T权限

[root@linux-server home]# ll -d dir2/ 查看目录权限变化

drwxr-xrwt. 2 root root 52 Oct 31 16:49 dir2/

[root@linux-server home]# useradd jack #创建用户

[root@linux-server home]# su - alice 切换到普通用户1

Last login: Wed Nov 6 21:48:12 CST 2019 on pts/2

[alice@linux-server ~]$ touch /home/dir2/alice.txt #用户alice创建文件

[alice@linux-server ~]$ exit

logout

[root@linux-server home]# su - jack 切换到普通用户2

Last login: Wed Nov 6 21:48:36 CST 2019 on pts/2

[jack@linux-server ~]$ touch /home/dir2/jack.txt #用户2jack创建文件

[jack@linux-server ~]$ rm -rf /home/dir2/alice.txt 删除

rm: cannot remove ‘/home/dir2/alice.txt’: Operation not permitted

测试jack删除alice创建的文件，无法删除

1.3.目前两种给普通用户提权手段：

sudo: 有针对性，例如针对某个用户以能够以root的身份执行某些命令。需要在命令前加sudo。

suid: 基本针对所有用户，任何用户在执行有suid权限的程序时（例如/usr/bin/rm），都是以root身份在执行，缺少安全性。

sudo提权的用户必须有密码。除非加上NOPASSWD。

案例

放开所有命令使用权

配置解释：

root表示用户名

第一个 ALL 指示允许从任何终端、机器访问 sudo

第二个 (ALL) 指示 sudo 命令被允许以任何用户身份执行

第三个 ALL 表示所有命令都可以作为 root 执行

[root@linux-server ~]# visudo #打开配置文件只能以root用户执行。

99 ## Allow root to run any commands anywhere

100 root ALL=(ALL) ALL（所有命令）

101 jack ALL=(ALL) NOPASSWD: ALL #添加内容

102 alice ALL=(ALL) NOPASSWD:/usr/bin/mkdir, /usr/bin/rm, /usr/bin/touch

103 ## Allows members of the 'sys' group to run networking, software,

测试

[root@linux-server ~]# su – jack

[alice@linux-server ~]$ touch /file

touch: cannot touch ‘/file’: Permission denied

[alice@linux-server ~]$ sudo touch /file

（此事jack用户的权限相当于root，所以命令成功执行）

没有密码，不能登陆，也不能使用sudo，那就passwd 用户名，设置密码，然后使用。

文件属性 chattr【扩展】

文件权限管理之：隐藏权限防止root误删除

2.1文件属性添加与查看

[root@linux-server ~]# touch file1 file2 file3

1.查看文件属性

[root@linux-server ~]# lsattr file1 file2 file3
---------------- file1
---------------- file2
---------------- file3

2.设置权限

[root@linux-server ~]# chattr +a file1 不允许修改，只允许追加
[root@linux-server ~]# chattr +i file2 不允许做任何操作
[root@linux-server ~]# chattr +A file3 锁定访问时间。
[root@linux-server ~]# lsattr file1 file2 file3
-----a---------- file1
----i----------- file2
-------A-------- file3

i:即Immutable，系统不允许对这个文件进行任何的修改
a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何覆盖或截断这个文件
A：即Atime，告诉系统不要修改对这个文件的最后访问时间

测试

[root@linux-server ~]# echo 111 > file1 #覆盖，只允许追加-bash: file1: Operation not

permitted[root@linux-server ~]# rm -rf file1 #不能删除rm: cannot remove ‘file1’: Operation not permitted[root@linux-server ~]# echo 111 >> file1 #追加[root@linux-server ~]# echo 111 > file2-bash: file2: Permission denied[root@linux-server ~]# echo 111 >> file2-bash: file2: Permission denied[root@linux-server ~]# rm -rf file2rm: cannot remove ‘file2’: Operation not

permitted[root@linux-server ~]# mv file2 file4mv: cannot move ‘file2’ to ‘file4’: Operation not permitted取消权限[root@linux-server ~]# chattr -a file1 [root@linux-server ~]# chattr -i file2

时光斑驳

关注

4
点赞
踩
29

收藏

觉得还不错? 一键收藏
0
评论
Linux用户权限解析

一、Linux用户权限解析我们linux服务器上有严格的权限等级，如果权限过高导致误操作会增加服务器的风险。所以对于了解linux系统中的各种权限及要给用户，服务等分配合理的权限十分重要。1、基本权限 UGO文件权限设置：可以赋于某个用户或组能够以何种方式访问某个文件。权限对象：属主------->u 拥有者属组------->g 拥有组其他人------>o基本权限类型：读(read)：r ---->4.............
复制链接

扫一扫